GETOVERX FORUM Community Support
SPYWARE – FinFisher - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Spyware (https://forum.getoverx.com/forumdisplay.php?fid=18)
+--- Thread: SPYWARE – FinFisher (/showthread.php?tid=44)

SPYWARE – FinFisher - mrwebfeeder - 11-29-2025

Nombre: FinFisher / FinSpy

Categoría: Spyware gubernamental / Suite de vigilancia

Fecha de descubrimiento: Alrededor de 2011 (investigaciones públicas)

Comportamiento (lo que hace y archivos que afecta):
- Spyware avanzado usado para vigilancia dirigida y operaciones de inteligencia.
- Captura de pantalla:
- Toma capturas periódicas o bajo eventos específicos (apertura de ciertas apps, uso de navegador, mensajería, etc.).
- Keylogging:
- Registra pulsaciones de teclado para obtener:
- Contraseñas.
- Mensajes en mensajería instantánea.
- Correos, documentos y cualquier texto escrito por el usuario.
- Vigilancia completa:
- Monitorización de aplicaciones de mensajería, correo, navegadores y documentos.
- Puede grabar audio (micrófono) y, en algunas variantes, vídeo (webcam).
- Recopila información del sistema: procesos, servicios, direcciones IP, configuración de red.
- Exfiltra la información a servidores de mando y control (C2) controlados por el operador.
- Archivos afectados:
- No “infecta” archivos para propagarse como un virus clásico, pero:
- Lee y exfiltra documentos, historiales, bases de datos locales de apps y archivos personales.
- Puede crear ficheros temporales cifrados en disco para almacenar datos recopilados antes de enviarlos.

Persistencia:
- Rootkit de kernel:
- Instala componentes a nivel de kernel para:
- Ocultar procesos, archivos y claves de Registro.
- Perdurarse tras reinicios y dificultar la detección por soluciones tradicionales.
- Puede interceptar llamadas del sistema para monitorear y manipular el funcionamiento normal del OS.
- Otros mecanismos habituales:
- Servicios y drivers firmados o que se camuflan como componentes legítimos del sistema.
- Modificaciones en el arranque para cargar sus módulos antes de herramientas de seguridad.

Hash real de referencia (SHA-256):
Muestra pública asociada a FinFisher / FinSpy:
Code:
e6e6eaad6d10c08baf0da7a2b3cb31ed2f8d1fd3fb70a278c6d9b96f76da87d2

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Antivirus + Anti-rootkit avanzado:
    - Ejecutar escaneos completos con el motor de AV de GetOverX Shield, incluyendo:
    - Directorios de sistema.
    - Drivers, servicios y carpetas de usuario.
    - Utilizar funciones avanzadas (anti-rootkit) para:
    - Detectar drivers o módulos de kernel ocultos.
    - Identificar entradas sospechosas en la cadena de arranque y servicios del sistema.
    - Cuarentenar y eliminar:
    - Binarios asociados a FinFisher.
    - Drivers maliciosos o manipulados.

  • HIPS / EDR – Vigilancia de comportamiento:
    - Activar reglas de EDR para detectar:
    - Keyloggers (procesos que acceden a APIs de teclado de forma continua sin justificación).
    - Captura de pantalla persistente o lectura masiva de buffers de pantalla.
    - Acceso frecuente a datos de múltiples aplicaciones de mensajería, navegadores y clientes de correo.
    - Configurar respuesta automática para:
    - Matar procesos que muestren comportamiento típico de spyware gubernamental.
    - Registrar los eventos (proceso, usuario, host, tipo de acceso) en los logs unificados para análisis forense.

  • Control de comunicaciones salientes (Firewall):
    - Restringir y monitorizar:
    - Conexiones salientes hacia dominios/IPs desconocidos, especialmente desde estaciones de trabajo de alto valor.
    - Crear reglas para:
    - Bloquear canales de exfiltración sospechosos (HTTP/HTTPS cifrado hacia destinos no autorizados, túneles).
    - Usar listas de permitidos (allowlists) para endpoints críticos, permitiendo sólo destinos aprobados.

  • Endurecimiento del sistema y auditoría:
    - Revisar:
    - Drivers cargados, servicios instalados y módulos de arranque.
    - Cualquier driver no firmado o con firma irregular que no pertenezca al inventario oficial.
    - Activar protección de integridad:
    - Políticas que impidan la carga de drivers no firmados o no autorizados.
    - Realizar auditorías periódicas:
    - Comparar la lista de componentes de kernel con una línea base conocida limpia.
    - Verificar que no existan objetos ocultos (procesos, archivos, claves de registro) según la visión del kernel vs herramientas de usuario.

  • Respuesta y remediación:
    - Ante sospecha o confirmación de FinFisher:
    - Aislar la máquina de la red para cortar exfiltración.
    - Extraer evidencias (imagen de disco, memoria) para análisis forense.
    - Recomendar:
    - Cambiar todas las credenciales que hayan sido usadas en el equipo comprometido (correo, VPN, sistemas internos, banca, etc.).
    - Implementar MFA en todos los servicios críticos para mitigar el impacto de claves robadas.

Notas opcionales:
- FinFisher / FinSpy es un ejemplo de spyware “de nivel estatal” o gubernamental, por lo que su detección puede indicar una campaña dirigida de alta criticidad contra la organización o persona afectada.